Risikomanagement bei Drittanbietern: Wie Sie sich vor behördlichen Kontrollen schützen können

Die Bewertung von Lieferantenrisiken ist für die Erfüllung von Compliance-Vorgaben unerlässlich.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter August 13, 2019 5 min gelesen

Anmerkung der Redaktion: Dies ist der erste Blogbeitrag einer Reihe mit dem Titel „Risikomanagement bei Drittanbietern: Wie Sie sich vor dem Radar der Aufsichtsbehörden schützen können“. Jede Woche analysieren wir eine Vorschrift, einen Branchenstandard oder ein Sicherheitsframework, das Unternehmen dazu verpflichtet, ein Risikomanagementprogramm für Drittanbieter einzuführen, um die IT-Sicherheitskontrollen zu verschärfen und Risiken zu reduzieren. Wir beleuchten die wichtigsten Anforderungen an das Risikomanagement bei Drittanbietern und zeigen auf, was nötig ist, um die gesetzlichen Vorschriften einzuhalten und Auditoren fernzuhalten.

Unabhängig von der Branche sind die Einhaltung von Vorschriften und die Berichterstattung ein wesentlicher Bestandteil des täglichen Geschäftsbetriebs. Die interne Einhaltung von Vorschriften, Richtlinien und Branchenstandards ist schon an sich komplex und herausfordernd genug, doch kommen noch Compliance-Vorgaben in Bezug auf Dritte, Lieferanten, Geschäftspartner und Partner in der Lieferkette hinzu, sodass die Belastung durch das Management von Datenrisiken eine völlig neue Dimension annimmt.

Es ist klar, dass Unternehmen angesichts der zunehmenden Cyber-Bedrohungen mehr tun müssen, um ihre Abwehrmaßnahmen zu verstärken. Dazu gehört auch die Überprüfung der Sicherheitslage der Lieferanten eines Unternehmens.

Eine zunehmend komplexe digitale Gesellschaft

Dank moderner Technologie und des Internets lagern Unternehmen heute in rasantem Tempo Aufgaben aus. Dafür gibt es viele Gründe. Ein wichtiger Grund ist, sich auf Kernkompetenzen zu konzentrieren und geistiges Eigentum auszubauen. Ein weiterer Grund ist die Kostensenkung. Die Auslagerung bestimmter Funktionen an spezialisierte Dienstleister schafft Effizienz, da es günstiger ist, wenn Experten diese Aufgaben übernehmen. Dies steigert die Leistung und hilft Unternehmen, in einem hart umkämpften Umfeld wettbewerbsfähig zu bleiben.

Unternehmen bauen ihr „erweitertes Unternehmen“ aus, viele davon um bis zu 20 % im letzten Jahr. Anbieter werden zunehmend zu „strategischen Partnern“, wobei alle davon profitieren, aber dies hat seinen Preis.

Dritte sind ein großes Ziel für Angriffe

Schlagen Sie einfach eine Zeitung auf oder schauen Sie sich die neuesten Social-Media-Seiten an, und Sie werden sehen, dass große und kleine Unternehmen mit hochkarätigen Datenverstößen konfrontiert sind. Das passiert in allen Branchen und in allen Regionen. Laut einer aktuellen Ponemon-Studie gaben 61 % der US-Unternehmen an, dass sie einen Datenverstoß durch einen ihrer Lieferanten oder Dritte erlebt haben. Und das bleibt nicht unbemerkt!

Angesichts wachsender Bedrohungen handeln die Regulierungsbehörden

Es scheint, als würden jeden Monat neue oder aktualisierte Gesetze erlassen, die sich direkt mit der Bekämpfung von Risiken durch Dritte befassen. Während wir traditionell davon ausgehen würden, dass dies hauptsächlich für Finanzdienstleistungen und das Gesundheitswesen gilt, betreffen die Vorschriften mittlerweile alle Märkte, begleitet von einer verstärkten Kontrolle durch Wirtschaftsprüfer, die von Unternehmen verlangen, ein Risikomanagementprogramm für Dritte zu erstellen, um Lieferantenrisiken zu bewerten, zu überwachen und zu verwalten.

Um Vorschriften und Standards einzuhalten, sollten Unternehmen ein Programm zum Risikomanagement durch Dritte (Third-Party Risk Management, TPRM) einführen. Dazu gehört ein mehrstufiger Ansatz, bei dem Sie:

  1. Legen Sie die Regeln für die Einbindung von Drittanbietern auf der Grundlage der Risikotoleranz sowie der Datenschutz- und Datensicherheitsrichtlinien Ihres Unternehmens fest.
  2. Nehmen Sie diese Regeln sowie die Prüfungsanforderungen in alle Verträge mit Dritten auf.
  3. Bewerten Sie Dritte anhand von Risikobewertungen in Form von Fragebögen oder Umfragen.
  4. Überwachen Sie Dritte, um die Einhaltung der Vorschriften zu überprüfen.

Wie bereits erwähnt, ist eine der wichtigsten Anforderungen in jeder Gesetzgebung oder Norm die Durchführung einer Risikobewertung von Lieferanten. Dies ist nicht nur wünschenswert, sondern in den meisten Gesetzgebungen sogar vorgeschrieben.

Was ist eine Risikobewertung durch Dritte?

Risikobewertungen bieten einen Inside-Out-Ansatz, um die Einhaltung von IT-Sicherheitskontrollen und Datenschutzanforderungen durch Lieferanten zu überprüfen und gleichzeitig sicherzustellen, dass Dritte dieselben Compliance-Standards erfüllen wie Ihr Unternehmen. Ziel der Bewertung ist es, zu verstehen, wie Daten gesichert werden, und Risiken zu identifizieren. Workflows zur Behebung von Mängeln zwischen einem Unternehmen und seinen Lieferanten erleichtern das Risikomanagement und die Risikominderung.

Die regulatorischen Vorgaben variieren zwar geringfügig zwischen den verschiedenen Aufsichtsbehörden und Normungsgremien, doch sind sich alle einig, dass die Durchführung einer Risikobewertung mit angemessener Sorgfalt vor und während des gesamten Lebenszyklus jeder Geschäftsbeziehung ein entscheidender Schritt zur Verringerung von Risiken durch Dritte ist. Diese Risikobewertungen sind nicht nur in den meisten Vorschriften vorgeschrieben, sondern können auch ein wichtiges Instrument für Unternehmen sein, um strengere Maßnahmen zum Schutz von Daten und Privatsphäre zu entwickeln.

Sie MÜSSEN Ihre Lieferanten bewerten!

Alle unten aufgeführten Vorschriften, Richtlinien und Branchenstandards erfordern die Verwendung interner, kontrollbasierter Risikobewertungen durch Dritte. Eine externe Risikobewertung oder -einstufung kann zwar Aufschluss über Risiken geben, erfüllt jedoch nicht die Compliance-Anforderungen, wenn sie als einziger Mechanismus zur Bewertung des Lieferantenrisikos verwendet wird. Eine Kombination aus Bewertung und Überwachung ist vorzuziehen, aber mindestens müssen Sie die Lieferanten bewerten.

Bewertungstabelle

Wie gängige Lösungen die Compliance-Anforderungen von Drittanbietern erfüllen

Prevalent bietet eine einheitliche Plattform für das Risikomanagement von Drittanbietern, mit der Sie Risiken besser erkennen, interpretieren und mindern können. Die Prevalent-Plattform wird in der Einfachheit der Cloud bereitgestellt und kombiniert automatisierte Lieferantenbewertung mit kontinuierlicher Bedrohungsüberwachung, um die Compliance zu vereinfachen, Sicherheitsrisiken zu reduzieren und die Effizienz zu verbessern. Zu den wichtigsten Funktionen gehören:

  • Eine Bibliothek mit über 50 vordefinierten, anpassbaren Bewertungsfragebögen, unterstützt durch automatisierte Funktionen zum Sammeln und Analysieren von Anbieterdaten.
  • Bidirektionale Remediation-Workflows zur Erleichterung des Risikomanagements und der Risikominderung mit vollständigen Prüfpfaden für die gesamte Kommunikation mit Anbietern und alle Risikobeschlüsse
  • Eine zentrale Berichtskonsole zur Visualisierung des Compliance- und Risikostatus über die gesamte Lieferantenlandschaft hinweg
  • Einzigartige Datenmapping-Bewertungen, um festzustellen, wo regulierte Daten innerhalb eines Unternehmens vorhanden sind – sowohl intern als auch bei Drittanbietern.
  • Umfassende Funktionen für Datensicherheitsaudits und Geschäftsüberwachung, mit denen Sie über taktische Berichte zum Netzwerkzustand hinausgehen und kritische operative, finanzielle, rechtliche und Markenrisiken aufdecken können.

Mit Prevalent erhalten Sie einen 360-Grad-Überblick über Lieferantenrisiken – sowohl von innen nach außen als auch von außen nach innen –, um die Einhaltung gesetzlicher Vorschriften zu verwalten und sich an Branchenstandards und -richtlinien auszurichten.

Vertrauen Sie Prevalent, um Ihnen bei der Einhaltung gesetzlicher Vorschriften zu helfen

Um mehr über die Einhaltung von Vorschriften zu erfahren, laden Sie noch heute das Handbuch „The Third-Party Risk Management Risk Management Compliance Handbook” herunter. Darin werden die wichtigsten Anforderungen an das Risikomanagement von Drittanbietern in gängigen Regulierungs- und Sicherheitsrahmenwerken behandelt und die Funktionen von Prevalent Third-Party Risk Management bestimmten Vorgaben zugeordnet. Das Handbuch ist eine unverzichtbare Lektüre für alle, die für die Einhaltung von Vorschriften in der Lieferkette verantwortlich sind.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.